2017/03/06

Novo malware utiliza DNS como forma de comunicação


Já sabemos que a internet é uma verdadeira "selva" em termos de malware e todo o tipo de coisas indesejadas que estão prontas a infectar os nossos computadores à mais ligeira distracção, e entre elas encontrar-se um malware que recorre a uma táctica engenhosa para comunicar com os seus criadores.

Hoje em dia os malwares mais potentes já não se limitam a ter uma tarefa fixa, focando-se em manter contacto com os seus criadores e ficar à espera de instruções sobre que mais operações deverão fazer. Muitas vezes é devido a estes canais de comunicação que os mesmos acabam por ser detectados - por exemplo, sendo apanhados como tráfego estranho por uma firewall - mas há também aqueles que já recorrem a formas criativas de contornar esse problema.

Num malware que consiste em scripts PowerShell do Windows, a comunicação com o centro de controlo é feito usando os serviços de DNS. O malware vai fazendo pedidos a vários domínios, recebendo informação que consiste em comandos a executar mas que nunca ficam registados no computador infectado.

A táctica é engenhosa pois um pedido DNS é algo que é considerado perfeitamente inofensivo - e também indispensável  para o funcionamento da internet - e por isso raras vezes estará bloqueado ou levantará qualquer suspeita. Aliás, já no passado surgiram alguns projectos que demonstraram como era possível usar comunicações via DNS como forma de ultrapassar praticamente todo o tipo de tentativas de bloquear o acesso a determinados sites ou serviços.

Para as empresas, é mais um aspecto a ter em conta e que importará começar a analisar com maior atenção... provavelmente, bloqueando todo o tipo de tentativa de acessos aos domínios associados a este tipo de malware.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]